DDoS原生防护是一款针对阿里云ECS、SLB、Web应用防火墙、EIP等产品直接提升DDoS防御能力的安全产品。相比于DDoS高防,DDoS原生防护可以直接把防御能力加载到云产品上,不需要更换IP,也没有四层端口、七层域名数等限制。DDoS原生防护部署简易,购买后只需要绑定需要防护的云产品的IP地址即可使用,几分钟内生效。

使用限制

DDoS原生防护企业版目前仅支持在中国内地地域直接开通。在中国内地以外地域开通原生防护企业版时,需要提交工单或者联系销售人员,通过审核后才能开通。

工作原理

DDoS原生防护直接为阿里云公网IP资源(包括云服务器ECS、负载均衡SLB、Web应用防火墙和弹性公网IP)提升DDoS攻击防御能力,主要提供针对三层和四层流量型攻击的防御服务。当流量超出DDoS原生防护的默认清洗阈值后,自动触发流量清洗,实现DDoS攻击防护。

DDoS原生防护采用被动清洗方式为主、主动压制为辅的方式,针对DDoS攻击在反向探测、黑白名单、报文合规等标准技术的基础上,保证被防护用户在攻击持续状态下,仍可对外提供业务服务。DDoS原生防护通过在阿里云机房出口处建设DDoS攻击检测及清洗系统,采用旁路部署方式。

防护包架构

应用场景

DDoS原生防护适用于部署在阿里云上的业务,能够满足业务规模大、对网络质量要求高的用户。此类型用户虽然遭受DDoS攻击风险较低,但是一旦遭受DDoS攻击导致业务中断或受损,将会带来巨大的商业损失。阿里云DDoS原生防护可在最小接入成本的情况下提升DDoS防护能力,降低DDoS攻击对业务带来的潜在风险。

DDoS原生防护适用于具有以下特征的业务:
  • 资源部署在阿里云上。
  • 需要保护的公网IP数量多。
  • 业务带宽或QPS较大。
  • 具有IPv6访问流量的防护需求。

DDoS原生防护套餐版本

DDoS原生防护提供基础版和企业版套餐。
  • 基础版(DDoS基础防护):默认为阿里云资源公网IP免费开启,无需购买。提供不超过5 Gbps的DDoS基础防护能力,具体请参见DDoS基础防护黑洞阈值
  • 企业版:购买后开启,提供全力防护能力。全力防护指阿里云根据当前机房网络的整体水位,尽可能帮助您防御DDoS攻击。随着阿里云网络能力的不断提升,全力防护的防护能力也会相应提升,而不需要您额外付出升级成本。
    • 支持防护阿里云资源公网IP,例如ECS、SLB、EIP、WAF。
    • 支持防护海外IDC服务器或云上按照网段去实现DDoS防护,提供代播实例。代播实例请联系销售人员购买。

    关于DDoS原生防护的详细计费说明,请参见DDoS原生防护计费方式

产品优势

DDoS原生防护具有以下优势:
  • 即刻购买,即刻生效。最短一分钟内即可完成DDoS原生防护的部署,直接把防御能力加载到云产品,免去部署和切换IP的烦恼。
  • 具备弹性防护能力,遭受大规模攻击时调用当前地域阿里云最大DDoS防护能力提供全力防护。
  • 采用阿里云BGP带宽,覆盖电信、联通、移动、教育网、长城宽带等不同的运营商,只需要一个IP,即可实现多个不同运营商的极速访问。
  • 海量清洗带宽,满足活动大促、活动上线、重要业务的安全稳定性保障需求。
  • 支持多个IP共享防护能力,满足多个IP地址都需要提升防御带宽的需求。
  • 部分地域支持IPv6防护,具体请参见DDoS基础防护黑洞阈值